Hozzászólások
[quote:7ce604d525="Beanie"]
szóval szerintem a cron meg crontab binárisok jogaival kell babrálni inkább. Ja, meg igaz, hogy ez FreeBSD manpage, de úgy emlékszem, hogy Linuxon is hasonlóan van.
A binaris jogaival valo babralas csak akkor eredmenyes, ha a home es a tmp noexec-el van mountolva. kulonben az user tesz fel sajat binarist es az megcsinalja neki. a crontab parancs nem suid-os, csak suid group-os, ami csak annyit tesz, hogy megfelelo csoportal jojjon letre a file.
- A hozzászóláshoz be kell jelentkezni
Hali
Van valakinek otlete arra, hogy lehet beloni a Debiant, hogy 1000-es UID folott ne lehessen cronjobot adni a rencernek?
A manualban egyelore nem leltem semmi okossagot erre vonatkozolag.
E-Medve
- A hozzászóláshoz be kell jelentkezni
[quote:0467ad5fc9="E-Medve"]Hali
Van valakinek otlete arra, hogy lehet beloni a Debiant, hogy 1000-es UID folott ne lehessen cronjobot adni a rencernek?
A manualban egyelore nem leltem semmi okossagot erre vonatkozolag.
E-Medve
hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.
- A hozzászóláshoz be kell jelentkezni
[quote:40ce0e4c78="anr"]hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.
Elsore en is ezen gondolkodtam, de van vagy 3-4 ezer ldap user es 2-300 gep... mondjuk for ciklust lehetne ra irni, de ez nem tul elegans...
- A hozzászóláshoz be kell jelentkezni
[quote:f7a6bed2a0="anr"]
hozz letre a /var/spool/cron/crontabs alatt minden 1000 feletti user neven egy filet, de ugy, hogy a tulajdonos a root.crontab legyen, a jogai meg 600. Ekkor a crontab -e vegen irasi hibauzenet kap az user.
adduserkor, meg ne felejtsd el letrehozni ezeket a filekat.
Én amennyire tudom, a crontab parancsban kapcsolóval meg lehet adni más crontab útvonalat is, tehát mondjuk pistike 1005-ös uid-al megadhatja, hogy neki mondjuk /home/pistike/crontab alatt legyen a crontab fájlja, és ne /var/spool/cron/crontabs alatt.
Én mondjuk azt csinálnám, hogy csinálok egy cron groupot és abba teszem akiknek engedem, hogy használják a cront, és a world-exec jogot meg leszedem, chgrp-zem cron groupra, és group-exec jogot adok neki.
- A hozzászóláshoz be kell jelentkezni
[quote:1128f86287="Beanie"]Én mondjuk azt csinálnám, hogy csinálok egy cron groupot és abba teszem akiknek engedem, hogy használják a cront, és a world-exec jogot meg leszedem, chgrp-zem cron groupra, és group-exec jogot adok neki.
Ez egy fokkal használhatóbbnak tunik...
- A hozzászóláshoz be kell jelentkezni
Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?
ELaci
- A hozzászóláshoz be kell jelentkezni
[quote:00329e7b8f="cln"]Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?
ELaci
Na erre nem gondoltam, hogy cronnak is vannak ilyen okossagai... akkor a cron.allow-ba beirom, hogy root, a cron.deny-be meg hogy ALL es akkor csak a root tud majd cronolni, ami jelenesetben szerintem eleg lenne...
- A hozzászóláshoz be kell jelentkezni
[quote:3f42e45530="cln"]Én meg úgy tudom hogy a /etc/cron.allow és /etc/cron.deny fielokban lehet az engedélyeket babrálni. Az miért nem jó?
ELaci
Nekem spec. nincsenek ilyen fájlok, igaz FreeBSD-t használok, nem Linuxot.
- A hozzászóláshoz be kell jelentkezni
Nekem spec. nincsenek ilyen fájlok, igaz FreeBSD-t használok, nem Linuxot.
Ha a "man crontab" -ban szó esik az allow és deny fileokról akkor csak létre kell őket hozni és működik. Persze ezek helye nem biztos hogy a /etc -ben van. HP-UX -ban pl.: /usr/lib/cron -ban van
ELaci
- A hozzászóláshoz be kell jelentkezni
Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...
Tudna valaki segiteni, hogy miket kellene probalni?
Eddig ez volt a fajlokban:
cron.allow:
root
cron.deny:
ALL
- A hozzászóláshoz be kell jelentkezni
[quote:d47c1a12e1="E-Medve"]Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...
Tudna valaki segiteni, hogy miket kellene probalni?
Eddig ez volt a fajlokban:
cron.allow:
root
cron.deny:
ALL
csak az egyik file legyen.
ha .allow, akkor aki nincs felsorolva, annak tilos (root-ot is beleertve)
ha .deny, akkor aki nincs felsorolva, annak szabad
a peldadban torold a .deny-t, akkor csak a rootnak lesz
- A hozzászóláshoz be kell jelentkezni
Na nekem valamiert nem ugy megy, ahogy kell... vagy rootnak se... vagy mindenkinek...
Szerintem nem úszod meg a userek felsorolását vagy az allow vagy a deny fileban. Ebben az esetben vagy csak az allow vagy csak a deny file kell.
ELaci
- A hozzászóláshoz be kell jelentkezni
[quote:9c7163dd88="cln"]Szerintem nem úszod meg a userek felsorolását vagy az allow vagy a deny fileban. Ebben az esetben vagy csak az allow vagy csak a deny file kell.
ELaci
Igazandibol csak a rootnak kell tudnia futtatni, mert kliens gepek lesznek...
- A hozzászóláshoz be kell jelentkezni
Nem mukszik... ha az allow-t hagyom meg es a cront ujrainditom, akkor ezt irja ki:
>>You (root) are not allowed to use this program (crontab)
>>See crontab(1) for more information
- A hozzászóláshoz be kell jelentkezni
[quote:587481dbbb="E-Medve"]
Igazandibol csak a rootnak kell tudnia futtatni, mert kliens gepek lesznek...
Akkor ha nincs jobb szimplán chown root:wheel és a world-execet töröld, és ez biztos működik.
- A hozzászóláshoz be kell jelentkezni
[quote:62e4b81011="E-Medve"]Nem mukszik... ha az allow-t hagyom meg es a cront ujrainditom, akkor ezt irja ki:
>>You (root) are not allowed to use this program (crontab)
>>See crontab(1) for more information
Valamiért nem ismeri fel hogy a root benne van az allow file-ban. Valami újsor (LF) vagy ilyesmire gondolok.
ELaci
- A hozzászóláshoz be kell jelentkezni
ja ha az a feladat, hogy csak a root tudjon cron-olni, akkor trivialis.
babralj a /var/spool/cron/crontab konyvtar jogaival, hogy csak a root tudjon filet letrehozni benne;))
- A hozzászóláshoz be kell jelentkezni
[quote:6b2f88b8ba="anr"]ja ha az a feladat, hogy csak a root tudjon cron-olni, akkor trivialis.
babralj a /var/spool/cron/crontab konyvtar jogaival, hogy csak a root tudjon filet letrehozni benne;))
CRONTAB(1) FreeBSD General Commands Manual CRONTAB(1)
NAME
crontab -- maintain crontab files for individual users (V3)SYNOPSIS
crontab [-u user] file
crontab [-u user] { -l | -r | -e }
Itt írja a man oldal, hogy megadható más útvonal is a crontab fájlnak, szóval szerintem a cron meg crontab binárisok jogaival kell babrálni inkább. Ja, meg igaz, hogy ez FreeBSD manpage, de úgy emlékszem, hogy Linuxon is hasonlóan van.
- A hozzászóláshoz be kell jelentkezni